Cải Tiến Bản Đồ Tổ Chức Tự Động (Som) Cho Hệ Thống Phát Hiện Xâm Nhập

  • Tam Dien Le Ho Chi Minh

Abstract

Ngày nay, các cuộc tấn công rất đa dạng, các doanh nghiệp thường sử dụng hệ thống phát hiện xâm nhập (IDS) để phát hiện các cuộc tấn công. Có hai cách tiếp cận để thực hiện IDS: một cách phát hiện các cuộc tấn công dựa trên chữ ký và một cách dựa trên hành vi. Bài viết này theo cách tiếp cận thứ hai dựa trên hành vi. Trong giai đoạn đào tạo, được xử lý bởi ứng dụng SOM (Self-organizing map) (Bản đồ tự tổ chức), hệ thống tạo ra một số vectơ xác định trạng thái bình thường của hệ thống. Cụm các vectơ này sẽ được đặc trưng bởi một nơron (lõi lượng tử) với bán kính r (r: bán kính lượng tử). Một hình học của nơ ron (có bán kính r) được coi là một hình cầu có bán kính r. Dựa trên việc xây dựng các vectơ mô tả trạng thái của hệ thống trong thời gian thực, chúng ta có thể phát hiện một hoạt động bất thường mới bằng cách so sánh giữa khoảng cách d (từ các vectơ trên với tất cả các nơ-ron) và ngưỡng r (bán kính lượng tử). Nếu khoảng cách nhỏ hơn ngưỡng, hệ thống IDS sẽ coi hoạt động mới này là trạng thái bình thường và không đưa ra bất kỳ cảnh báo nào. Nếu khoảng cách lớn hơn ngưỡng r, hệ thống IDS sẽ coi hoạt động mới này là trạng thái bất thường và tạo cảnh báo. Vấn đề của bài báo xảy ra khi hai hoặc nhiều hơn hai quả cầu chồng lên nhau. Vấn đề này làm cho hệ thống IDS khó xác định. Mục tiêu nghiên cứu của bài báo là phát triển một thuật toán hình học để làm cho tất cả các hình cầu không bị chồng chéo lẫn nhau. Sau đó, hệ thống sẽ được xác định và đảm bảo cho hệ thống được chính xác.

Published
2020-03-13